Product Documentation

TLSを使ったエンドポイントのセキュリティ保護

Mar 25, 2016

ここでは、Monitor Service OData APIエンドポイントを保護するためのTLSの使用方法について説明します。 TLSを使用する場合、サイトのすべてのDelivery Controller上でTLSを構成する必要があります。TLSを構成したControllerと構成していないControllerを混在させることはできません。

Monitor ServiceエンドポイントをTLSで保護するには、以下の構成を行います。 このための手順には、各サイトで1回のみ必要なものと、サイト内でMonitor Serviceをホストするすべてのマシン上で行うものがあります。 次の手順に従います。

パート1:システムへの証明書の登録

  1. 信頼された証明書マネージャーを使用して証明書を作成します。 証明書は、OData TLSで使用するマシン上のポートに関連付ける必要があります。
  2. Monitor ServiceのTLS通信用のポートとしてこのポートを構成します。 このための手順は、使用している環境とこれが証明書でどのように機能するかにより異なります。 次の例では、ポート449を構成しています。
  • 証明書をポートに関連付けます。
    netsh http add sslcert ipport=0.0.0.0:449 certhash=97bb629e50d556c80528f4991721ad4f28fb74e9  appid='{00000000-0000-0000-0000-000000000000}'
    ヒント:PowerShellのコマンドウィンドウでは、上記のようにappIDのGUIDを一重引用符で囲む必要があります。一重引用符で囲まないと、コマンドが正しく動作しません。 この例では、コマンドを読みやすくするために改行が追加されています。

パート2:Monitor Service構成設定の変更

  1. サイト内の任意のDelivery Controller上で、次のPowerShellコマンドを1回実行します。 これにより、Monitor ServiceがConfiguration Serviceから登録解除されます。
    asnp citrix.*   $serviceGroup = get-configregisteredserviceinstance -servicetype Monitor | Select -First 1 ServiceGroupUid   remove-configserviceGroup -ServiceGroupUid $serviceGroup.ServiceGroupUid 
  2. サイト内のすべてのController上で、以下の操作を行います。
    • cmdプロンプトを開き、Citrix Monitorフォルダー(通常C:\Program Files\Citrix\Monitor\Service)に移動します。 次のコマンドを実行します。
      Citrix.Monitor.Exe -CONFIGUREFIREWALL -ODataPort 449 -RequireODataSsl
    • 次のPowerShellコマンドを実行します。
    asnp citrix.*  (if not already run within this window)  get-MonitorServiceInstance | register-ConfigServiceInstance   Get-ConfigRegisteredServiceInstance -ServiceType Config | Reset-MonitorServiceGroupMembership